모든 랜섬웨어 공격이나 보안 이슈는 발생 전, 발생 중, 발생 후 단계로 나누어집니다. 각 단계에서 조직을 보호하려면 먼저 공격이 어떻게 전개되는지 이해해야 합니다.
이 글에서는 공격 발생 후 어떤 일이 발생하는지 설명할 것입니다. 공격 “발생 전” 및 “발생 중”에 대비하기 위해 필요한 조치를 이미 취하셨기를 바랍니다. 이제 피해를 복구하고, 평판 손상 및 위험을 줄이며, 전체적인 피해 비용을 최소화하기 위한 후속 조치에 대해 알아보겠습니다.
공격이 완전히 진행된 후 발생하는 일
공격 또는 보안 이슈가 발생한 후 다음과 같은 일이 일어날 수 있습니다.
- 파일이 암호화되었을 경우, 공격자의 요구사항을 담은 메시지가 발견될 것입니다.
- 그러면 여러분은 랜섬을 지불해야 하는 선택에 직면합니다. 아마도 .onion 도메인 웹사이트에서 공격자 측과 교섭하여 일정 금액에 합의한 후 암호화폐를 지불하게 될 것입니다. 랜섬을 지불할 경우와 지불하지 않을 경우 어떤 일이 일어나는지 알아보세요(영문자료). 랜섬을 받은 공격자는 파일을 해독/복구하는 데 필요한 암호를 제공할 수 있지만, 반드시 그러리라는 보장은 없습니다.
- 데이터를 해독하거나 복원하는 것이 끝이 아닐 수 있습니다. 공격자는 추출한 데이터를 2차 공격에 사용할 수도 있습니다. 즉, 공개 인터넷에 해당 파일을 게시하지 않는다는 조건으로 추가 몸값을 요구할 수도 있습니다.
이 시점에서 여러분은 피해를 최소화하고 온라인 상태로 돌아가 공격 사실을 알리기 위해 노력해야 합니다. 그 방법을 알아보겠습니다.
공격 발생 후 랜섬웨어 복구를 위한 5단계
랜섬웨어 복구를 위한 노력은 조직, 데이터, 보안 이슈의 특성 등에 따라 다릅니다. 하지만 일반적으로 공격이 일어난 직후에는 아래의 5단계에 착수하는 것이 좋습니다.
1. 대응 계획에 따라 복구 및 복원을 시도할 시스템의 우선순위를 정합니다.
지난 글에서 공격 발생 중에 수행해야 할 주요 조치 중 하나를 제시했습니다. 깨끗한 데이터 복제본이 있으면 준비된 복구 환경으로 마이그레이션하여 다시 온라인 상태로 돌아갈 수 있습니다. 이러한 시스템은 다시 온라인 상태로 돌아가는 데 필요한 최소한의 미션 크리티컬 작업입니다. 이제 다른 시스템의 복구 및 복원 우선순위를 정해야 합니다.
경영진과 협력하여 다른 이해 관계자들과 복구 우선순위에 대해 합의해야 합니다. 애플리케이션 복원의 우선순위 또는 티어를 적절하게 정의하여 각 사업부가 애플리케이션 복원 일정을 정확하게 파악하고, 돌발 상황이 발생하지 않도록 해야 합니다. 이러한 계획에는 액티브 디렉토리 및 DNS와 같은 중요한 인프라도 포함되어야 합니다. 그렇지 않으면 다른 비즈니스 애플리케이션이 온라인 상태로 돌아가지 못하거나 제대로 작동하지 않을 수 있습니다.
2. 포렌식 작업을 계속하고 관련 당국, 사이버 보험 회사 및 모든 규제 기관과 협력합니다.
포렌식 전문가와 지속적으로 협력하여 다음과 같은 자세한 내용을 확인해야 합니다.
- 보안 침해가 발생했을 때 암호화 조치가 설정되어 있었습니까?
- 백업 데이터 또는 보존 데이터의 상태는 어떻습니까?
- 로그를 검토하여 보안 침해 당시 해당 데이터에 액세스한 사용자를 확인합니다. 현재 액세스 권한이 있는 사용자에게 여전히 액세스 권한이 필요합니까? 아니면 액세스 권한을 제한하거나 취소할 수 있습니까?
- 어떤 유형의 데이터가 훼손되었습니까? 영향을 받은 당사자는 누구이며 해당 연락처 정보를 알고 있습니까?
포렌식 보고서를 취합할 경우 적절한 당국(FBI와 같은 법 집행 기관, 관련 규제 기관 등) 및 보험 회사와 협력하여 수집해야 합니다.
3. 담당 팀이 멀웨어 감염을 식별하고 제거할 수 있는 오프라인 샌드박스 환경에서 복구 작업을 시작합니다.
이전 글에서 계층형 보안 아키텍처와 “데이터 벙커(영문자료)“를 활용할 것을 권장한 바 있습니다. 이러한 접근 방식을 활용할 경우 많은 데이터를 유지 및 보호하고 빠르게 이용할 수 있습니다.
복원을 시작할 때는 네트워크 세그먼트를 확인하세요. 네트워크를 설정할 때 한 서버나 사이트에서 발생한 보안 침해가 다른 서버나 사이트로 이어지지 않도록 네트워크를 분할했을 가능성이 있습니다. 포렌식 전문가와 협력하여 세그먼트화 계획이 보안 침해를 억제하는 데 효과가 있었는지 분석하고, 변경해야 할 사항이 있다면 바로 변경해야 합니다.
4. 상시적인 커뮤니케이션으로 복구 작업의 진행 상황을 각 업무 부서에 지속적으로 알립니다.
영향을 받는 모든 당사자(직원, 고객, 투자자, 비즈니스 파트너 및 기타 이해 관계자)에게 적용될 수 있는 포괄적인 계획을 수립하세요. 보안 침해에 대해 오해의 소지가 있는 진술은 하지 않는 것이 좋습니다. 사람들이 물어볼 질문을 미리 예상해보는 것은 도움이 됩니다. 가장 중요한 질문을 처리하고 일상적 언어로 명확하게 답변합니다. 이를 통해 고객의 우려와 불만을 줄일 수 있기 때문에 나중에 회사의 시간과 비용을 절약할 수 있습니다.
또한, 소비자나 회사를 더한 위험에 빠뜨릴 수 있는 정보는 공개적으로 공유하지 마세요.
대응 및 커뮤니케이션 계획을 세우는 데 도움이 필요하시면 “보안 팀에 물어볼 10가지 질문(영문자료)“을 확인해 보세요.
5. 서비스 제공업체의 권한을 조사합니다.
보안 침해에 연루된 서비스 제공업체, 파트너 또는 공급업체가 있습니까? 이들이 액세스할 수 있는 개인정보를 조사하고 액세스 권한을 변경해야 하는지 여부를 결정하세요. 지금은 서비스 제공업체가 또 다른 보안 침해를 방지하는 조치를 스스로 취하고 있는지 확인하기에 좋은 시점입니다. 서비스 제공업체가 취약점을 시정했다고 밝히면 실제로 조치를 시행했는지 확인을 요청하세요.
퓨어스토리지 솔루션으로 조치 및 복구 준비하기
공격 발생 후 초기 단계에서 우선적으로 직면할 문제와 가능한 즉각 조치를 미리 알아 두면 손실, 비용 및 위험을 최소화할 수 있습니다. 퓨어스토리지는 다음과 같이 공격 “발생 후” 단계에서 신속한 조치를 취할 수 있도록 지원합니다.
- 업계에서 가장 빠른 백업 데이터 복구 속도(매일 수 페타바이트 복구) 지원
- 즉각적인 공간 절약형 스냅샷을 통해 고속 포렌식 복구 프로세스 지원
자세한 정보와 지침은 아래 두 가지 유용한 자료를 참고하세요.
- “해커가 직접 알려주는 랜섬웨어 예방 및 복구 가이드” – Andy Stone, Hector Monsegur(LulzSec 및 Anonymous 해킹 그룹 전 멤버) 작성
- “CISO에게 물어야 할 10가지 질문(영문자료)“